BMI Adult & Kid Calculator <= 1.2.2 - Authenticated (Administrator+) Stored Cross-Site Scripting

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) almacenado en el plugin 'BMI Adult & Kid Calculator' versiones hasta 1.2.2. Esta vulnerabilidad afecta a los administradores autenticados y puede ser explotada para inyectar scripts maliciosos.

Contexto técnico

El fallo se encuentra en el manejo inadecuado de los datos introducidos por los usuarios, permitiendo que un atacante con privilegios de administrador inyecte código JavaScript que se ejecuta en el navegador de otros usuarios.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la integridad del sitio web, permitiendo a atacantes ejecutar scripts en el contexto de otros usuarios, lo que podría resultar en el robo de información sensible o la manipulación de la interfaz de usuario.

Vector de explotación

Generalmente, la explotación se lleva a cabo mediante la inyección de scripts en campos que no son correctamente validados, que luego son visualizados por otros usuarios en el frontend del sitio web.

Mitigación recomendada

Actualizar el plugin 'BMI Adult & Kid Calculator' a la versión 1.2.2 o posterior. Además, es recomendable revisar y sanitizar todos los datos de entrada y salida en el sitio para prevenir futuras vulnerabilidades de XSS.

Señales de detección

Señales de riesgo incluyen la aparición de comportamientos inusuales en el sitio web, como redirecciones inesperadas o la ejecución de scripts no autorizados en el navegador de los usuarios.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.2.2 del plugin 'BMI Adult & Kid Calculator'.